Hash / InformaciónValor
SHA256166bba02413995aff28ffeb27d3bf3d5a5f6a6cd36893e252c7b9a22836f4980
MD5be8bf725892ddd7a200d0a1906b9387f
SHA1582a24a72b29e70f2de26a8d217492c7a6b983ff
ImpHasha4d9bc817c853ddee0fd95530455e74f
Archivo AdiWebAdvisorInstall.exe
Tipo de archivoexe
Tamaño5,333,010 bytes
Primera detección2024-08-28

Tehdit Valorlendirmesi

Bu ornek, kurban sistemindeki dosyaları sifreleyerek erisimi engelleyen ve sifre cozme anahtarı karsılıgında fidye talep eden bir fidye yazılımı olarak analiz edilmistir.

Capacidades detectadas

  • Archivo Sifreleme
  • Golge Kopya Silme
  • Fidye Notu
  • Yedek Yok Etme
  • Veri Sizdirma

Etiquetas de MalwareBazaar

exeLoaderlockbitmaster-repogen-vercel-appRansomware

Nota de análisis

Bu ornek LockBit ailesine ait ve MalwareBazaar platformundan alınmıstır. KEYDAL Guvenlik Arastirmaları tarafından metadata analizi gerceklestirilmis ve IOC veritabanına eklenmistir.

LockBit — Perfil del malware

LockBit 3.0 (LockBit Black). bl3.exe builder. CryptProtectMemory DPAPI key protection. WinRAR SFX delivery.

Tipo de malware
Ransomware
Lenguaje de programación
C++
Protocolo C2
Sistemas objetivo
Windows/Linux
También conocido como (AKA)
LockBit 3.0

Detalles técnicos

C, RSA-2048 + AES-256 sifreleme (hibrid), vssadmin ile shadow copy silme, Active Directory enum, LockBit Builder ile ozel varyant uretimi, multi-threaded encryption, ransom note TXT/HTA

Capacidades y comportamiento

Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)

Lista IOC (2 indicadores)

IOC — LockBit
# SHA256 166bba02413995aff28ffeb27d3bf3d5a5f6a6cd36893e252c7b9a22836f4980 # MD5 be8bf725892ddd7a200d0a1906b9387f
TipoValorNota
sha256 166bba02413995aff28ffeb27d3bf3d5a5f6a6cd36893e252c7b9a22836f4980
md5 be8bf725892ddd7a200d0a1906b9387f

Servidores C2 (2 servidores registrados para esta familia)

Dirección Tipo Puerto Protocolo Estado País
35.227.107.189 ip 443 HTTPS sinkholed US
89.185.85.239 ip 443 HTTPS sinkholed NL

Las direcciones C2 se proporcionan únicamente a partir de muestras de malware verificadas manualmente por el equipo KEYDAL. Se prohíbe el uso comercial.

Etiquetas
exeLoaderlockbitmaster-repogen-vercel-appRansomware